Käkivarastaja

Kyberturvallisuustutkijat ovat löytäneet uuden uhan, joka kohdistuu Applen macOS-järjestelmiin, jotka on suunniteltu varmistamaan jatkuva pääsy vaarantuneisiin isäntiin ja toimimaan vakoiluohjelmina. Tämä Cuckoo-niminen haittaohjelma on universaali Mach-O-binaari, joka pystyy toimimaan sekä Intel- että Arm-pohjaisissa Maceissa.

Tarkka jakelutapa on edelleen epävarma. On kuitenkin merkkejä siitä, että binaaria isännöidään useilla verkkosivustoilla (dumpmedia.com, tunesolo.com, fonedog.com, tunesfun.com ja tunefab.com), joiden tarkoituksena on tarjota ilmaisia ja maksullisia sovelluksia musiikin kopioimiseen suoratoistopalveluista ja muuntamiseen. sen MP3-muotoon.

Cuckoo Stealer varmistaa pysyvyyden tartunnan saaneessa Macissa

Näiltä sivustoilta saatu levykuvatiedosto käynnistää bash-kuoren isäntätietojen keräämiseksi. Se varmistaa, että vaarantunut kone ei sijaitse Armeniassa, Valko-Venäjällä, Kazakstanissa, Venäjällä tai Ukrainassa. Vilpillinen binaari suoritetaan vain, jos aluetarkistus onnistuu.

Lisäksi se varmistaa pysyvyyden LaunchAgentilla, menetelmällä, jota aiemmin käyttivät useat haittaohjelmaperheet, kuten RustBucket , XLoader , JaskaGO , ja macOS-takaovea, jolla on yhtäläisyyksiä ZuRun kanssa.

Kuten MacStealer macOS -haittaohjelma, Cuckoo käyttää osascriptiä väärennettyjen salasanakehotteiden esittämiseen, mikä huijaa käyttäjiä syöttämään järjestelmäsalasanansa käyttöoikeuksien eskalointia varten. Tämä haittaohjelma etsii myös tiettyjä tiedostoja, jotka on linkitetty tiettyihin sovelluksiin ja pyrkii keräämään laajoja järjestelmätietoja.

Cuckoo Stealer vaarantaa arkaluontoiset tiedot rikkoutuneilta laitteilta

Cuckoo-haittaohjelma on suunniteltu suorittamaan joukko komentoja, joiden tarkoituksena on poimia laitteiston yksityiskohtia, kaapata aktiivisia prosesseja, tehdä kyselyitä asennetuista sovelluksista, ottaa kuvakaappauksia ja kerätä tietoja eri lähteistä, mukaan lukien iCloud-avainnipusta, Apple Notesista, verkkoselaimista, kryptolompakoista ja tietyistä lähteistä. sovelluksia, kuten Discord, FileZilla, Steam ja Telegram.

Jokainen uhkaava sovellus sisältää upotetun sovelluspaketin resurssihakemistoonsa. Suurin osa näistä paketeista, lukuun ottamatta fonedog.com-sivuston paketteja, on allekirjoitettu ja niillä on voimassa oleva Yian Technology Shenzhen Co., Ltd:n (VRBJ4VRP) kehittäjätunnus. Varsinkin fonedog.com isännöi Android-palautustyökalua muiden tarjousten ohella, ja sen lisäsovelluspaketissa on FoneDog Technology Limitedin kehittäjätunnus (CUAU2GTG98).

Mac-laitteet ovat tulleet usein haittaohjelmahyökkäysten kohteeksi

Kyberrikolliset ovat ottaneet käyttöön Mac-laitteisiin tarkoitettuja haittaohjelmatyökaluja, joista yksi näkyvä esimerkki on AdLoad -haittaohjelmaperhe. Viime aikoina tietoturvatutkijat ovat herättäneet hälytyksiä tämän pahamaineisen haittaohjelman uudesta versiosta nimeltä Rload (tunnetaan myös nimellä Lador), joka on kirjoitettu Go-ohjelmointikielellä. Rload on suunniteltu ohittamaan Applen XProtect-haittaohjelmien allekirjoitusluettelo ja se on käännetty erityisesti Intel x86_64 -arkkitehtuurille.

Nämä binaarit toimivat ensimmäisinä pudottimina myöhempiä hyötykuormavaiheita varten. Tällä hetkellä tarkat jakelutavat ovat epäselviä. Nämä dropperit löytyvät kuitenkin yleensä upotettuina haitallisten verkkosivustojen kautta levitettyihin krakattuihin tai troijalaissovelluksiin.

AdLoad, mainosohjelmakampanja, joka on vaikuttanut macOS:ään ainakin vuodesta 2017 lähtien, on pahamaineinen hakukoneiden tulosten kaappaamisesta ja mainosten lisäämisestä verkkosivuille. Tämä saavutetaan man-in-the-middle web-välityspalvelimen asetuksella, joka ohjaa käyttäjien verkkoliikennettä hyökkääjän infrastruktuurin läpi taloudellisen hyödyn saamiseksi.